Mikä on Sistemi Informativi ja miksi tietomurrolla on merkitystä?

Sistemi Informativi on IBM Italyn tytäryhtiö, joka hallinnoi IT-infrastruktuuria julkisille ja yksityisille organisaatioille. Koska se palvelee useita asiakkaita, tietomurto luo potentiaalisia altistumispisteitä kaikissa sen palveluihin nojaavissa organisaatioissa.

Kenen epäillään olevan kyberhyökkäyksen takana?

Tietoturvatutkijat ja viranomaiset ovat tunnistaneet mahdollisia yhteyksiä kiinalaisiin valtiollisiin kyberoperaatioihin. Tämä asettaa tapauksen osaksi laajempaa valtiollisten tunkeutumisten mallia, joka kohdistuu kriittiseen infrastruktuuriin Euroopassa ja Pohjois-Amerikassa.

Mikä on toimitusketjuhyökkäys ja miten se liittyy tähän tapaukseen?

Toimitusketjuhyökkäys tarkoittaa luotetun kolmannen osapuolen toimittajan vaarantamista pääsyn saamiseksi sen asiakkaisiin ilman, että näitä asiakkaita murtaudutaan suoraan. Tässä tapauksessa Sistemi Informativin vaarantaneet hyökkääjät saattoivat periä yrityksen luottamussuhteet alavirtaisiin organisaatioihin.

Miten valtiollisesti johdetut infrastruktuurin tietomurrot eroavat tyypillisistä tietomurroista?

Toisin kuin tyypilliset tietomurrot, jotka kohdistuvat tunnistetietoihin tai asiakastietoihin, valtiollisesti johdetut tunkeutumiset infrastruktuuriyrityksiin keskittyvät tyypillisesti tiedonkeruuseen, pysyvään pääsyyn ja kykyyn häiritä järjestelmiä strategisesti sopivalla hetkellä.

Ovatko tiedustelupalvelut varoittaneet tämänkaltaisista uhista aiemmin?

Kyllä, Yhdysvaltojen, Yhdistyneen kuningaskunnan ja Euroopan unionin tiedustelupalvelut ovat toistuvasti varoittaneet, että Kiinaan yhdistetyt valtiollisesti johdetut toimijat ovat järjestelmällisesti kohdistaneet hyökkäyksiä infrastruktuuritoimittajiin, teleoperaattoreihin ja valtiollisiin IT-toimittajiin.

IBM Italyn tytäryhtiön tietomurto yhdistetään kiinalaisiin kyberoperaatioihin

IBM Italyn tytäryhtiö joutui tietomurron kohteeksi, jolla on valtiollisia yhteyksiä

Kyberhyökkäys, joka kohdistui IBM Italyn tytäryhtiöön Sistemi Informativi'hin – yritykseen, joka hallinnoi IT-infrastruktuuria sekä julkisille että yksityisille organisaatioille – on herättänyt vakavia huolia kriittisen kansallisen infrastruktuurin turvallisuudesta. Tietoturvatutkijat ja viranomaiset ovat tunnistaneet mahdollisia yhteyksiä kiinalaisiin valtiollisiin kyberoperaatioihin, mikä tekee tästä tapauksesta merkittävän hetken jatkuvassa keskustelussa valtiollisista uhista länsimaisten IT-järjestelmien näkökulmasta.

Sistemi Informativi ei ole erityisen tunnettu nimi, mutta sen rooli Italian infrastruktuurissa on huomattava. Yritys tarjoaa IT-palveluja organisaatioille, jotka ovat riippuvaisia luotettavista ja turvallisista järjestelmistä, mikä tarkoittaa, että tämänkaltaisella tietomurrolla voi olla kauaskantoisia seurauksia huomattavasti yksittäistä organisaatiota laajemmalle. Kun useiden asiakkaiden infrastruktuuria hallinnoiva toimittaja vaarantuu, jokaisesta kyseiseen toimittajaan luottavasta organisaatiosta tulee potentiaalinen altistumispiste.

Mitä tietomurrosta tiedetään

Yksityiskohdat ovat edelleen rajallisia tutkinnan jatkuessa, mutta keskeinen huolenaihe on selvä: hyökkääjä sai luvattoman pääsyn järjestelmiin, joita hallinnoi yritys, joka on syvästi juurtunut Italian IT-ekosysteemiin. Väitetty yhteys kiinalaisiin kyberoperaatioihin asettaa tämän tapauksen osaksi laajempaa valtiollisten tunkeutumisten mallia, joka kohdistuu kriittiseen infrastruktuuriin Euroopassa ja Pohjois-Amerikassa.

Kyse ei ole yksittäistapauksesta. Yhdysvaltojen, Yhdistyneen kuningaskunnan ja Euroopan unionin tiedustelupalvelut ovat toistuvasti varoittaneet, että valtiollisesti johdetut toimijat – erityisesti Kiinaan yhdistetyt – ovat järjestelmällisesti tunnustelleet ja tunkeutuneet infrastruktuuritoimittajiin, teleoperaattoreihin ja valtiollisiin IT-toimittajiin. Sistemi Informativin kaltaisen toimittajan murtaminen voi antaa hyökkääjille pysyvän pääsyn useisiin alavirtaisiin kohteisiin ilman, että näitä kohteita tarvitsee murtaa suoraan.

Luotettujen kolmannen osapuolen IT-toimittajien käyttäminen sisääntulovektorina – jota kutsutaan usein toimitusketjuhyökkäykseksi – on muodostunut yhdeksi tehokkaimmista taktiikoista kehittyneiden uhkatoimijoiden käytössä. Kun hyökkääjä vaarantaa infrastruktuurin hallinnoijan, hän perii ne luottamussuhteet, joita hallinnoijalla on asiakkaidensa kanssa.

Miksi kriittisen infrastruktuurin tietomurrot ovat erilaisia

Useimmat tietomurrot sisältävät varastettuja tunnistetietoja, vuotaneita asiakastietoja tai kiristysohjelmauhkia. Valtiollisesti johdetuilla tunkeutumisilla infrastruktuurin hallintayrityksiin on tyypillisesti erilaiset tavoitteet: tiedonkeruu, pysyvä pääsy ja kyky häiritä järjestelmiä strategisesti sopivalla hetkellä.

Tämä erottelu on erittäin merkittävä sen kannalta, miten organisaatioiden ja yksityishenkilöiden tulisi ajatella riskejä. Vähittäiskaupan tietomurto saattaa paljastaa luottokorttinumerosi. Tietomurto yrityksessä, joka hallinnoi valtiollista ja institutionaalista IT-infrastruktuuria, voi vaikuttaa julkisiin palveluihin, arkaluonteisiin valtiollisiin viestintöihin tai kriittisten järjestelmien operatiiviseen jatkuvuuteen.

Italian kannalta erityisesti tämä tapaus osuu aikaan, jolloin Euroopan hallitukset tarkastelevat yhä tarkemmin kansalliseen infrastruktuuriin juurtuneiksi toimittajien tietoturvakäytäntöjä. Euroopan unionin NIS2-direktiivi, joka astui voimaan vuonna 2023, on suunniteltu asettamaan tiukempia kyberturvallisuusvaatimuksia juuri tähän yrityskategoriaan. Sistemi Informativin tietomurto toimii tosielämän testaustapauksena sille, täyttyvätkö nämä standardit käytännössä.

Mitä tämä tarkoittaa sinulle

Useimmille ihmisille tietomurto Italian IT-infrastruktuurin tytäryhtiössä saattaa tuntua kaukaiselta. Mutta tapaus sisältää käytännön oppeja, jotka soveltuvat suoraan siihen, miten yksityishenkilöt ja organisaatiot suojaavat omia tietojaan ja viestintäänsä.

Ensinnäkin toimitusketjuongelma on yleismaailmallinen. Aina kun luotat kolmannen osapuolen palveluntarjoajalle tietosi tai järjestelmäsi, luotat myös kyseisen tarjoajan tietoturvakäytäntöihin. Olitpa sitten pieni yritys, joka käyttää pilvipalvelupohjaista kirjanpitosovellusta, tai valtionvirasto, joka käyttää ulkoistettua IT-manageria, kyseisen ketjun heikoin lenkki määrittää todellisen altistumisesi.

Toiseksi verkkoturvallisuudella on merkitystä. Organisaatioiden, jotka käyttävät arkaluonteisia järjestelmiä – erityisesti etäyhteyksien kautta – tarvitsevat salattuja ja todennettuja yhteysreittejä. VPN-ratkaisut ja nollaluottamusverkkoarkkitehtuurit on luotu nimenomaan rajoittamaan vahinkojen laajuutta silloin, kun tunnistetietoja varastetaan tai toimittaja vaarantuu. Jos organisaatiosi etäkäyttö perustuu ainoastaan käyttäjätunnus- ja salasanayhdistelmiin, luotetun toimittajan tietomurto voi olla kaikki mitä hyökkääjä tarvitsee.

Kolmanneksi toimittajariskien arvioinnit eivät ole valinnaisia. Yritysten ja organisaatioiden tulisi säännöllisesti tarkastaa jokaisen järjestelmiinsä koskevan kolmannen osapuolen tietoturvan tila. Tähän sisältyy poikkeamiin reagoimisen menettelyjen tarkastelu, tiedusteleminen tunkeutumistestauksen käytännöistä ja sen varmistaminen, että sopimukseen perustuvat tietomurtoilmoitusvelvoitteet ovat voimassa.

Käytännön toimintaohjeet

Tarkasta toimittajasuhteet. Tunnista kaikki kolmannen osapuolen toimittajat, joilla on pääsy järjestelmiisi tai tietoihisi, ja arvioi, vastaavatko heidän tietoturvastandardinsa omaa riskinsietokykyäsi.
Pakota salattu viestintä. Kaiken arkaluonteisiin järjestelmiin tapahtuvan etäkäytön tulee kulkea todennettujen ja salattujen yhteyksien kautta. Salaamattomien tai heikosti suojattujen kanavien käyttö altistaa sinut, jos toimittajan tunnistetiedot varastetaan.
Ota käyttöön monitekijätodennus kaikkialla. Varastetut tunnistetiedot ovat hyökkääjille huomattavasti hyödyttömämpiä, kun vaaditaan toinen todennustekijä. Tämä koskee omia järjestelmiäsi ja pitäisi olla vaatimus, jonka asetat myös toimittajillesi.
Noudata NIS2:ta ja vastaavia viitekehyksiä. Vaikka organisaatiosi ei ole lainmukaisesti velvoitettu noudattamaan NIS2:ta tai vastaavia standardeja, niiden käsitteleminen lähtökohtana on käytännöllinen tapa vertailla tietoturvan tasoasi.
Oleta tietomurto ja suunnittele sen mukaisesti. Sen ymmärtäminen, että jopa hyvin resursoituja IT-infrastruktuurin toimittajia voidaan vaarantaa, tarkoittaa, että organisaatioiden tulisi varautua skenaarioon, jossa luotettu toimittaja on kääntynyt heitä vastaan. Segmentoi pääsyoikeudet, kirjaa toiminta lokiin ja pidä poikkeamiin reagoimissuunnitelma valmiina.

Sistemi Informativin tietomurto muistuttaa, että digitaalisen infrastruktuurimme putkistoa hallinnoivat organisaatiot ovat arvokkaita kohteita. Itsesi suojaaminen tarkoittaa tietoturva-ajattelun laajentamista oman perimeterisi ulkopuolelle – kaikkiin niihin, joille luotat pääsyn järjestelmiisi.

IBM Italyn tytäryhtiö joutui tietomurron kohteeksi, jolla on valtiollisia yhteyksiä

Mitä tietomurrosta tiedetään

Miksi kriittisen infrastruktuurin tietomurrot ovat erilaisia

Mitä tämä tarkoittaa sinulle

Käytännön toimintaohjeet

// UKK

// Aiheeseen liittyvät